São Paulo — InkDesign News — Um ataque cibernético envolvendo o grupo de ameaças UNC6395 resultou na violação da conta do GitHub da Salesloft, o que desencadeou uma série de ataques à cadeia de suprimentos que comprometeram centenas de instâncias do Salesforce.
Vetor de ataque
A brecha ocorreu através do uso de tokens OAuth roubados do aplicativo Drift da Salesloft, que está integrado ao Salesforce. A incursão maliciosa começou entre março e junho de 2023, quando o atacante explorou a conta do GitHub da Salesloft, possivelmente através de técnicas não especificadas de acesso. Durante esse período, UNC6395 baixou dados de múltiplos repositórios e realizou reconhecimento nos ambientes de aplicação da Salesloft e do Drift.
Impacto e resposta
As consequências do ataque foram severas. Diversas empresas de tecnologia, como Zscaler e Cloudflare, tiveram suas instâncias do Salesforce comprometidas, com acesso a dados sensíveis, incluindo configurações e chaves de API. Cloudflare relatou que algumas instâncias continham padrões de suporte ao cliente que armazenavam configurações e 104 tokens de API do Cloudflare. O aviso de segurança da Salesforce indicou que, “o Drift permanecerá desativado até novo aviso como parte da nossa continuação de resposta ao incidente de segurança” (Drift will remain disabled until further notice as part of our continued response to the security incident).
Análise e recomendações
Uma análise da equipe de Inteligência de Ameaças do Google (GTIG) destacou que a exploração dos tokens OAuth não se limitou apenas ao Salesforce, impressionando a necessidade de cautela entre os clientes. Dwayne McDaniel, defensor de desenvolvedores na GitGuardian, alertou que “há uma falsa sensação de segurança com esses repositórios onde as empresas dizem, ‘Ei, nosso repositório é privado, estamos bem,’ mas tudo o que é necessário é um comprometimento de conta e seus segredos estão expostos” (“there’s a false sense of security with these repos where companies say, ‘Hey, our repo is private, we’re OK,’ but all it takes is one account compromise and your secrets are exposed”).
Ainda que a GitHub tenha implementado medidas de segurança para proteger segredos armazenados, a exposição de dados sensíveis continua a ser uma preocupação crescente. No último relatório de GitGuardian, mais de 23,7 milhões de segredos foram deteados em commits públicos somente em 2024.
As projeções futuras indicam que a dependência cada vez maior de ferramentas tecnológicas para operações comerciais expõe as empresas a riscos significativos, demandando vigilância constante e medidas de mitigação robustas.
Fonte: (Dark Reading – Segurança Cibernética)
